GHSA-36qh-35cm-5w2w

Опубликовано: 13 авг. 2021

Источник: github

Github: Прошло ревью

CVSS3: 6.5

Описание

Authentication Bypass by Alternate Name in Apache Tomcat

A vulnerability in the JNDI Realm of Apache Tomcat allows an attacker to authenticate using variations of a valid user name and/or to bypass some of the protection provided by the LockOut Realm. This issue affects Apache Tomcat 10.0.0-M1 to 10.0.5; 9.0.0.M1 to 9.0.45; 8.5.0 to 8.5.65.

Ссылки

Пакеты

Наименование

org.apache.tomcat:tomcat

maven

Затронутые версииВерсия исправления

>= 10.0.0-M1, < 10.0.5

10.0.5

Наименование

org.apache.tomcat:tomcat

maven

Затронутые версииВерсия исправления

>= 9.0.0M1, < 9.0.45

9.0.45

Наименование

org.apache.tomcat:tomcat

maven

Затронутые версииВерсия исправления

>= 8.5.0, < 8.5.65

8.5.65

EPSS

Процентиль: 48%

0.00244

Низкий

6.5 Medium

CVSS3

CVE ID

CVE-2021-30640

Дефекты

CWE-116

CWE-287

CWE-289

Связанные уязвимости

CVE-2021-30640

CVSS3: 6.5

ubuntu

почти 4 года назад

CVE-2021-30640

CVSS3: 6.5

redhat

почти 4 года назад

CVE-2021-30640

CVSS3: 6.5

nvd

почти 4 года назад

CVE-2021-30640

CVSS3: 6.5

debian

почти 4 года назад

A vulnerability in the JNDI Realm of Apache Tomcat allows an attacker ...

BDU:2021-03686

CVSS3: 4.8

fstec

почти 4 года назад

Уязвимость реализации модуля JNDIRealm сервера приложений Apache Tomcat, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 48%

0.00244

Низкий

6.5 Medium

CVSS3

CVE ID

CVE-2021-30640

Дефекты

CWE-116

CWE-287

CWE-289